<!DOCTYPE html>
<html lang="zh-cn">
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <title>iptables端口转发 - macdfree&#39;s blog</title>
  <meta name="renderer" content="webkit" />
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"/>

<meta http-equiv="Cache-Control" content="no-transform" />
<meta http-equiv="Cache-Control" content="no-siteapp" />

<meta name="theme-color" content="#f8f5ec" />
<meta name="msapplication-navbutton-color" content="#f8f5ec">
<meta name="apple-mobile-web-app-capable" content="yes">
<meta name="apple-mobile-web-app-status-bar-style" content="#f8f5ec">


<meta name="author" content="macd" /><meta name="description" content="iptables端口转发" />
<meta name="keywords" content="iptables, 端口转发" />



<meta name="baidu-site-verification" content="Ak74Sk61bk" />
<meta name="google-site-verification" content="fAeFHpkrhfFS8LxdzXy0EtAPcVStv0faGn238sRF3L8" />


<meta name="generator" content="Hugo 0.54.0" />


<link rel="canonical" href="/posts/iptables%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/" />

<link rel="apple-touch-icon" sizes="180x180" href="/apple-touch-icon.png">
<link rel="icon" type="image/png" sizes="32x32" href="/favicon-32x32.png">
<link rel="icon" type="image/png" sizes="16x16" href="/favicon-16x16.png">
<link rel="manifest" href="/manifest.json">
<link rel="mask-icon" href="/safari-pinned-tab.svg" color="#5bbad5">




<script async src="//busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js"></script>


<link href="/dist/even.min.css?v=3.1.1" rel="stylesheet">
<link href="/lib/fancybox/jquery.fancybox-3.1.20.min.css" rel="stylesheet">




<meta property="og:title" content="iptables端口转发" />
<meta property="og:description" content="iptables端口转发" />
<meta property="og:type" content="article" />
<meta property="og:url" content="/posts/iptables%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/" />
<meta property="article:published_time" content="2019-09-26T21:48:40&#43;08:00"/>
<meta property="article:modified_time" content="2019-09-26T21:48:40&#43;08:00"/>

<meta itemprop="name" content="iptables端口转发">
<meta itemprop="description" content="iptables端口转发">


<meta itemprop="datePublished" content="2019-09-26T21:48:40&#43;08:00" />
<meta itemprop="dateModified" content="2019-09-26T21:48:40&#43;08:00" />
<meta itemprop="wordCount" content="1546">



<meta itemprop="keywords" content="iptables,端口转发," />
<meta name="twitter:card" content="summary"/>
<meta name="twitter:title" content="iptables端口转发"/>
<meta name="twitter:description" content="iptables端口转发"/>

<!--[if lte IE 9]>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/classlist/1.1.20170427/classList.min.js"></script>
<![endif]-->

<!--[if lt IE 9]>
  <script src="https://cdn.jsdelivr.net/npm/html5shiv@3.7.3/dist/html5shiv.min.js"></script>
  <script src="https://cdn.jsdelivr.net/npm/respond.js@1.4.2/dest/respond.min.js"></script>
<![endif]-->

</head>
<body>
  <div id="mobile-navbar" class="mobile-navbar">
  <div class="mobile-header-logo">
    <a href="/" class="logo">macdfree&#39;s blog</a>
  </div>
  <div class="mobile-navbar-icon">
    <span></span>
    <span></span>
    <span></span>
  </div>
</div>
<nav id="mobile-menu" class="mobile-menu slideout-menu">
  <ul class="mobile-menu-list">
    <a href="/">
        <li class="mobile-menu-item">首页</li>
      </a><a href="/categories/">
        <li class="mobile-menu-item">分类</li>
      </a><a href="/tags/">
        <li class="mobile-menu-item">标签</li>
      </a><a href="/archive/">
        <li class="mobile-menu-item">归档</li>
      </a>
  </ul>
</nav>
  <div class="container" id="mobile-panel">
    <header id="header" class="header">
        <div class="logo-wrapper">
  <a href="/" class="logo">macdfree&#39;s blog</a>
</div>

<nav class="site-navbar">
  <ul id="menu" class="menu">
    <li class="menu-item">
        <a class="menu-item-link" href="/">首页</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/categories/">分类</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/tags/">标签</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/archive/">归档</a>
      </li>
  </ul>
</nav>
    </header>

    <main id="main" class="main">
      <div class="content-wrapper">
        <div id="content" class="content">
          <article class="post">
    
    <header class="post-header">
      <h1 class="post-title">iptables端口转发</h1>

      <div class="post-meta">
        <span class="post-time"> 2019-09-26 </span>
        <div class="post-category">
          
            <a href="/categories/iptables/"> iptables </a>
          
            <a href="/categories/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/"> 端口转发 </a>
          
        </div>
        <span class="more-meta"> 约 1546 字 </span>
        <span class="more-meta"> 预计阅读 4 分钟 </span>
        <span id="busuanzi_container_page_pv" class="more-meta"> <span id="busuanzi_value_page_pv"><img src="/img/spinner.svg" alt="spinner.svg"/></span> 次阅读 </span>
      </div>
    </header>

    
    
<div class="post-toc" id="post-toc">
  <h2 class="post-toc-title">文章目录</h2>
  
  <div class="post-toc-content always-active">
    <nav id="TableOfContents">
<ul>
<li><a href="#场景描述">场景描述</a></li>
<li><a href="#配置步骤">配置步骤</a></li>
<li><a href="#命令解析">命令解析</a></li>
</ul>
</nav>
  </div>
</div>

    
    <div class="post-content">
      <p>配置<code>iptables</code>端口转发，实现访问内网服务器的功能，同时对相关原理进行梳理。</p>

<h1 id="场景描述">场景描述</h1>

<p>首先描述一下我遇到的场景：客户端需要通过公网IP连接（SSH）多台远程服务器，但公网IP只有一个。最粗暴的方法就是想连哪台服务器就将公网IP绑定到哪台上，但这样会有重复劳动。同时对于客户端来说是同一个连接配置，很容易搞混。另外还有个做法是把绑定公网IP的服务器作为跳板机，每次先登录跳板机，再通过跳板机登录其他内网服务器。这想法是正确的，但做法上比较原始，同时如果遇到需要传输文件的场景就比较麻烦了。</p>

<p>在此场景下，很容易想到一个名词<code>反向代理</code>，想到反向代理，就想到<code>Nginx</code>。但很不幸，<code>Nginx</code>反向代理的是应用层协议（即HTTP协议）（Nginx其实也可以代理TCP，但需要加模块），而我们想要的是传输层协议（TCP、UDP协议）。</p>

<p>这时就轮到<code>iptables</code>登场了。关于<code>iptables</code>是什么，可以自行搜索，可以肤浅的认为就是个防火墙，可以配置一系列的入站出站规则。当然它的功能远不止这些。下面就详细介绍一下怎么样使用<code>iptables</code>实现类似反向代理的功能。</p>

<h1 id="配置步骤">配置步骤</h1>

<p>为了便于说明，我们先将上述场景具体化。场景中包含三个部分，分别是：客户机A、绑定公网IP的服务器B和内网服务器C。大致示意图如下：</p>

<pre><code>+-----------+             +-----------+      +-----------+
|           |             |           |      |           |
|  客户机A  +------------&gt;+  服务器B  +-----&gt;+  服务器C  |
|           |             |           |      |           |
+-----------+             +-----------+      +-----------+
                          公 网 IP：          内 网 IP：
                          66.42.69.230        192.168.0.101
                          内 网 IP：
                          192.168.0.100
</code></pre>

<p>下面开始进行配置</p>

<ol>
<li><p>开启转发功能</p>

<pre><code class="language-sh">echo 1 &gt; /proc/sys/net/ipv4/ip_forward
</code></pre></li>

<li><p>配置iptables</p>

<pre><code class="language-sh">iptables -t nat -A PREROUTING -d 192.168.0.100 -p tcp --dport 9022 -j DNAT --to-destination 192.168.0.101:22
iptables -t nat -A POSTROUTING -d 192.168.0.101 -p tcp --dport 22 -j SNAT --to-source 192.168.0.100
iptables -I FORWARD 1 -d 192.168.0.101 -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD 2 -s 192.168.0.101 -p tcp --sport 22 -j ACCEPT
service iptables save
service iptables restart
</code></pre>

<p>对于第一条命令，需要说明一下：如果服务器B是使用的是双网卡，一个内网地址，一个公网地址的，需要将-d后面的IP地址改成公网IP。</p></li>
</ol>

<p>经过以上配置，最终效果就是客户端通过<code>66.42.69.230:9022</code>即可连接上内网的服务器C，如果有多台内网服务器，参照以上命令再配置即可。</p>

<h1 id="命令解析">命令解析</h1>

<p>配置讲完了，让我们再深入一下，看看这些命令的作用是什么。</p>

<p>首先，我们要从iptables的角度了解一个数据包到达服务器B后需要经历那些过程，以下是我从网上找的比较容易理解的一张图</p>

<p><img src="2019-09-26-23-17-28.png" alt="示意图" /></p>

<p>第一条命令</p>

<p>从图上可以看出数据包首先进入的是PREROUTING，而第一条命令正是在这个阶段进行了处理。具体作用就是将目标地址为<code>192.168.0.100:9022</code>的数据包中的目标地址改为<code>192.168.0.101:22</code>，这样可以实现将此数据包通过路由转发到内网服务器C上。</p>

<p>第二条命令</p>

<p>结合图可以看到是对数据包出去的最后一步是POSTROUTING进行处理。具体作用是将目标地址为<code>192.168.0.101:22</code>的数据包的源地址修改为<code>192.168.0.100:随机端口号</code>。为什么要这样做呢？我们知道通信是双向的，要有来有回。试想一下，如果不修改源地址，那返回的数据包会不经过服务器B，直接发给客户端A，而这条路其实是不通的，导致通信失败。</p>

<p>第三、四条命令</p>

<p>我们看到，数据包在PREROUTING处有两条路可以走，具体规则是如果数据包目标地址是本机地址，则走INPUT进行内部处理；如果数据包目标地址不是本机地址，则走FORWARD转发到外部。而我们的场景由于修改了目标地址，所以走的是FORWARD。默认情况下FORWARD会有一条拒绝所有地址访问的规则，所有要想我们的请求可以通过，需要在这个条件之前添加通过的规则，具体规则就是目标地址是<code>192.168.0.101:22</code>可以通过，源地址是<code>192.168.0.101:22</code>的可以通过（猜测用于回包）。</p>

<p>第五、六条命令</p>

<p>以上设置的iptables规则只是在内存中，一旦重启就会失效。为此需要将规则保存到配置文件中。至于重启命令，可有可无。</p>
    </div>

    
    <div class="post-copyright">
  <p class="copyright-item">
    <span class="item-title">文章作者</span>
    <span class="item-content">macd</span>
  </p>
  <p class="copyright-item">
    <span class="item-title">上次更新</span>
    <span class="item-content">2019-09-26</span>
  </p>
  
  
</div>

    
    
<div class="post-reward">
  <input type="checkbox" name="reward" id="reward" hidden />
  <label class="reward-button" for="reward">赞赏支持</label>
  <div class="qr-code">
    
    
      <label class="qr-code-image" for="reward">
        <img class="image" src="/img/reward/wechat-qr-code.png">
        <span>微信打赏</span>
      </label>
    
      <label class="qr-code-image" for="reward">
        <img class="image" src="/img/reward/alipay-qr-code.png">
        <span>支付宝打赏</span>
      </label>
  </div>
</div>

    <footer class="post-footer">
      
        <div class="post-tags">
          
          <a href="/tags/iptables/">iptables</a>
          
          <a href="/tags/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91/">端口转发</a>
          
        </div>

      
      <nav class="post-nav">
        
        
          <a class="next" href="/posts/windows%E4%B8%8B%E7%BC%96%E8%AF%91%E5%AE%89%E8%A3%85openssl/">
            <span class="next-text nav-default">Windows下编译安装OpenSSL</span>
            <span class="prev-text nav-mobile">下一篇</span>
            <i class="iconfont icon-right"></i>
          </a>
      </nav>
    </footer>
  </article>
        </div>
        
      </div>
    </main>

    <footer id="footer" class="footer">
      <div class="social-links">
      <a href="mailto:macdfree@163.com" class="iconfont icon-email" title="email"></a>
      <a href="https://github.com/MACDfree" class="iconfont icon-github" title="github"></a>
  <a href="/index.xml" type="application/rss+xml" class="iconfont icon-rss" title="rss"></a>
</div>

<div class="copyright">
  <span class="power-by">
    由 <a class="hexo-link" href="https://gohugo.io">Hugo</a> 强力驱动
  </span>
  <span class="division">|</span>
  <span class="theme-info">
    主题 - 
    <a class="theme-link" href="https://github.com/olOwOlo/hugo-theme-even">Even</a>
  </span>

  <div class="busuanzi-footer">
    <span id="busuanzi_container_site_pv"> 本站总访问量 <span id="busuanzi_value_site_pv"><img src="/img/spinner.svg" alt="spinner.svg"/></span> 次 </span>
    <span class="division">|</span>
    <span id="busuanzi_container_site_uv"> 本站总访客数 <span id="busuanzi_value_site_uv"><img src="/img/spinner.svg" alt="spinner.svg"/></span> 人 </span>
  </div>

  <span class="copyright-year">
    &copy; 
    
      2014 - 
    2019
    <span class="heart">
      <i class="iconfont icon-heart"></i>
    </span>
    <span class="author">macd</span>
    <span class="division">|</span>
    <span style="margin-left: 5px;">
      <img alt="buildstatus" src="https://travis-ci.org/MACDfree/hugoblog.svg?branch=master">
    </span>
  </span>
</div>
    </footer>

    <div class="back-to-top" id="back-to-top">
      <i class="iconfont icon-up"></i>
    </div>
  </div>
  
<script src="/lib/highlight/highlight.pack.js?v=20171001"></script><script type="text/javascript" src="/lib/jquery/jquery-3.2.1.min.js"></script>
  <script type="text/javascript" src="/lib/slideout/slideout-1.0.1.min.js"></script>
  <script type="text/javascript" src="/lib/fancybox/jquery.fancybox-3.1.20.min.js"></script>
<script type="text/javascript" src="/dist/even.min.js?v=3.1.1"></script>








</body>
</html>
